|
 |
Андрей Степаненко
Целью написания данной статьи является оказание практической помощи специалистам, занимающимся обеспечением безопасности информации в крупных автоматизированных системах. По ряду исторически сложившихся причин защита от осязаемых угроз (например, контроль доступа в помещения и физическая защита, защита от утечки информации за счет ПЭМИН) не вызывает у специалистов особых проблем, а именно безопасность информационных ресурсов им значительно труднее оценить и измерить.
Начиная разговор о защите информации в корпоративной сети, необходимо определить, что же является объектом защиты. Это - сложно структурированная гетерогенная сеть, предназначенная для распределенной обработки данных.
Характерной особенностью корпоративной сети является то, что ее построение проводится как правило, на протяжении нескольких лет, что является причиной того, что в одной сети функционирует оборудование разных производителей и поколений, на которых можно встретить как самое современное, так и самое "древнее" программное обеспечение, не всегда изначально ориентированное на совместную обработку данных.
Если в сети производится обработка сведений, составляющих коммерческую или иную тайну, то для обеспечения безопасности этой информации должны быть предприняты определенные меры.
|
|
||
|
||
|
|
В журнале "Системы безопасности" (N1 за 1998г.) была опубликована статья "Комплексный подход к обеспечению информационной безопасности", в которой Научно-инженерное предприятие "Информзащита" предложило поэтапный план построения целостной системы защиты информации. Коротко перечислю названия его этапов:
• обследование автоматизированной системы и разработка организационно-распорядительных документов;
• выбор, приобретение, установка, настройка и эксплуатация средств защиты;
• обучение персонала работе с имеющимися средствами защиты;
• информационное обслуживание по вопросам информационной безопасности;
• периодический аудит системы информационной безопасности.
Постараемся применить его к корпоративной сети.
Первым этапом является обследование корпоративной сети. По итогам обследования разрабатывается комплект документов (Концепция информационной безопасности и План защиты), на основе которых будут проводиться все работы по защите (более подробно с содержанием этих документом вы можете ознакомиться в статье "Организационные меры защиты информации", журнал "Системы безопасности", N2 за 1997 г.).
Эти документы должны разрабатываться после изучения структуры сети и получения целостного представления о технологии обработки данных в ней. Если у вас есть полная информация о том, как организована сеть вашей организации, какие угрозы безопасности информации существуют, как они могут быть реализованы и каким будет ущерб, как хранится информация, на каких рабочих местах и с помощью какого программного обеспечения она обрабатывается, как категорируются информация и рабочие места в организации, как осуществляется допуск сотрудников к той или иной информации и кто, наконец, выполняет мероприятия по защите и отвечает за безопасность, то вы смело можете пропустить все работы по исследованию собственной сети. В противном случае необходимо засучить рукава и заняться расчисткой этих "авгиевых конюшен", в которых многолетние наслоения скрывают истинное состояние дел.
Желательно, чтобы подобные работы были выполнены профессионалами, так как просчеты на этапе проектирования системы информационной безопасности могут обернуться серьезными проблемами и потерями при ее построении и эксплуатации.
С учетом особенностей корпоративной сети разработанные документы должны предусматривать решение следующих задач:
• защита от проникновения в корпоративную сеть и от утечки информации из сети по каналам связи;
• разграничение потоков информации между сегментами сети;
• защита наиболее критичных ресурсов сети от вмешательства в нормальный процесс функционирования;
• защита важных рабочих мест и ресурсов от несанкционированного доступа (НСД);
• криптографическая защита наиболее важных информационных ресурсов.
К сожалению, в настоящее время не существует ни одного готового решения (аппаратного, программного или иного), обеспечивающего реализацию функций одновременно всех перечисленных задач. Объясняется это тем, что, с одной стороны, требования каждого конкретного пользователя по выполнению тех или иных защитных мероприятий существенно различаются, и с другой стороны, каждая из задач решается с помощью специфических средств. Поэтому подробно рассмотрим, какие средства позволят реализовать соответствующие функции.
Защита от проникновения в сеть и от утечки информации из сети. В качестве основного средства, позволяющего реализовать подобную угрозу, рассматривается канал подключения корпоративной сети к глобальной сети Internet. Естественно, вероятность реализации угрозы зависит от многих факторов, поэтому говорить о едином способе защиты в каждом конкретном случае нельзя (более подробно о проблемах взаимодействия с Internet вы можете прочесть в тематическом выпуске "Вопросы информационной безопасности, связанные с применением Internet в кредитно-финансовых учреждениях", предлагаемом НИП "Информзащита"). Наиболее распространенным решением является применение межсетевых экранов, которые позволяют определить и реализовать правила разграничения доступа как для внешних, так и для внутренних пользователей корпоративной сети, скрыть при необходимости структуру сети от внешнего пользователя, блокировать отправку информации по "запретным" адресам и, наконец, просто контролировать применение Internet.
Выбор межсетевых экранов в настоящее время достаточно широк. В качестве рекомендации необходимо отметить, что желательно ориентироваться на продукты, сертифицированные Гостехкомиссией России. Несмотря на более высокую (в среднем - на 10-15%) стоимость, применение сертифицированных межсетевых экранов дает ряд преимуществ в решении юридических аспектов организации защиты конфиденциальной информации и дает некоторую гарантию качества реализации защитных механизмов в соответствии с руководящими документами, действующими в нашей стране.
Разграничение потоков информации между сегментами сети. В зависимости от характера обрабатываемой в том или ином сегменте сети информации и от способа взаимодействия между сегментами реализуют один из вариантов:
• Никакого разграничения - вариант, применимый в случаях, когда ни в одном из взаимодействующих сегментов не хранится и не обрабатывается важная информация или когда сегменты сети содержат информацию с одинаковой важностью и находятся в одном здании, т.е. в пределах контролируемой зоны. Реализация, естественно, не требует никаких усилий, но и защита просто отсутствует.
• Разграничение средствами коммуникационного оборудования (маршрутизаторов, интеллектуальных переключателей и т.п. Реализация подобного разграничения требует тщательного изучения возможностей коммуникационного оборудования и глубокого знания структуры сети и информационных потоков, циркулирующих в ней, так как результат полностью зависит от грамотной настройки. При этом коммуникационное оборудование изначально, как правило, не является средством защиты, поэтому подобное разграничение не позволяет реализовать защитные функции в полном объеме.
• Применение межсетевых экранов - рекомендуется при организации взаимодействия между сегментами через сеть Internet. Как правило, данный способ применяется тогда, когда в сети уже имеются межсетевые экраны, предназначенные для контроля за потоками информации между внутренней сетью и Internet, что позволяет предотвратить лишние расходы - более полно используются возможности имеющихся средств.
Защита наиболее критичных ресурсов сети от вмешательства в нормальный процесс функционирования. Наиболее критичными ресурсами в корпоративной сети являются серверы. Основным способом вмешательства в нормальный процесс их функционирования является проведение атак с использованием уязвимостей сетевого аппаратного и программного обеспечения. При этом атака может быть реализована как из внешней (Internet), так и из внутренней сети, например, одним из штатных сотрудников. Основная проблема заключается не только в своевременном обнаружении и регистрации атаки, что позволяют сделать многие средства, но и в противодействии ей, так как даже поимка злоумышленника (на основе результатов регистрации) будет служить слабым утешением, если корпоративная сеть будет парализована на некоторое время из-за успешно проведенного нападения.
Одним из наиболее мощных инструментов, предназначенных для оперативного реагирования на подобные нападения, является система RealSecure, производимая американской корпорацией Internet Security Systems, Inc. Система RealSecure позволяет своевременно обнаружить и предотвратить все известные на сегодняшний день атаки, проводимые по сети (см. статьи "Посмотрите на свою сеть глазами специалистов", "Средства обнаружения уязвимостей и атак: сделайте правильный выбор", журнал "Системы безопасности", N4,5 за 1997 г.)..
Защита важных рабочих мест и ресурсов от НСД. До настоящего времени многие автоматизированные системы работали и продолжают работать, ориентируясь только на встроенные защитные механизмы различных операционных систем (как правило, сетевых), что обеспечивает достаточную защиту (при правильном администрировании) информации на серверах. Но количество серверов составляют в корпоративной сети 1-3% от общего числа рабочих станций, на которых и производится обработка той самой защищенной информации. При этом подавляющее большинство рабочих станций (примерно 90%) работает под управлением MS DOS/Windows 3.1х или Windows 95 и не имеет никаких средств защиты, так как эти операционные системы не содержат встроенных защитных механизмов.
Возникает парадоксальная ситуация - на незащищенном рабочем месте может обрабатываться важная информация, доступ к которой ничем не ограничен. Именно в этих случаях рекомендуется применять дополнительные средства защиты от несанкционированного доступа для рабочих станций. В общем случае в дополнительной защите нуждаются рабочие места, на которых:
• используются средства криптографической защиты (для защиты криптографических ключей);
• необходимо регламентировать и протоколировать действия пользователей;
• необходимо разграничить права пользователей по доступу к локальным ресурсам.
Количество рабочих станций, попадающих под данную классификацию, составляет примерно 10-50% от их общего числа в зависимости от характера обрабатываемой информации.
Следующие рекомендации можно рассматривать как общие при выборе средств защиты от НСД:
• Ориентироваться необходимо только на сертифицированные продукты.
• Выбирать поставщика систем защиты, который обеспечит полный комплекс обслуживания, т.е. не только продажу и гарантии, которые есть у всех, но и услуги по установке и настройке (при необходимости), по обучению сотрудников работе со средствами защиты, по сопровождению приобретенных систем.
• Выбирать систему защиты, обеспечивающую разграничение доступа в различных операционных системах.
• Ориентироваться на системы с лучшими эксплуатационными характеристиками, такими как: высокая надежность, совместимость с различным программным обеспечением, минимальное снижение производительности рабочей станции, обязательное наличие средств централизованного управления защитными механизмами с рабочего места администратора безопасности, оперативное оповещение администратора обо всех событиях НСД на рабочих станциях.
• При выборе обращать внимание не только на стоимость подобных средств, но и на уровень предполагаемых расходов на их эксплуатацию и сопровождение.
В настоящее время практически все поставщики бесплатно предоставляют свои системы для тестирования, что является лучшим вариантом, но потребует от вас затраты определенного времени и усилий на изучение сильных и слабых сторон разных продуктов. НИП "Информзащита" предлагает всем заинтересованным организациям системы защиты информации от НСД семейства Secret Net™ для проведения тестирования.
Криптографическая защита наиболее важных информационных ресурсов. Шифрование является наиболее надежным способом защиты данных от ознакомления. Особенностью подобных средств в России является то, что их применение жестко регламентируется законами. Для защиты конфиденциальной информации разрешается применять только сертифицированные ФАПСИ продукты, перечень которых не очень широк. Все средства шифрования имеют существенный недостаток - значительное (в некоторых случаях более чем в 2 раза) снижение производительности компьютеров, на которых они установлены и работают. Специфика продуктов, предназначенных для шифрования, приводит к тому, что в настоящее время в корпоративных сетях подобные продукты устанавливаются только на тех рабочих местах, на которых хранится информация, имеющая очень высокую важность, или обрабатываются электронные денежные платежи (например, в системах Банк-Клиент) - всего не более 1-5% от общего числа рабочих станций.
В заключение работ первого этапа вы будете иметь полное представление о том, в каком состоянии находится корпоративная сеть сейчас, и о том, что вы должны сделать, чтобы обеспечить защиту информации в ней.
На основе данных обследования можно перейти ко второму этапу плана - выбору, приобретению, установке, настройке и эксплуатации систем защиты в соответствии с разработанными рекомендациями.
Вопросу выбора соответствующих средств было уделено достаточно внимания, поэтому несколько слов о важности сопровождения приобретенных средств. Вы должны отдавать себе отчет, что любое средство защиты создает дополнительные препятствия в работе обычного пользователя, при этом препятствий будет тем больше, чем меньше времени будет уделяться настройке этих систем. Администратор безопасности должен ежедневно обрабатывать данные регистрации для того, чтобы своевременно корректировать настройки систем, обеспечивающие адаптацию к изменениям в технологии обработки информации. Без этого любая система, какой бы хорошей она ни была, обречена на медленное и мучительное (для конечных пользователей) вымирание.
Третий этап- обучение администраторов безопасности работе с приобретенными средствами защиты. В процессе обучения администратор приобретает базовые знания о технологии обеспечения информационной безопасности, глубокие знания об имеющихся в операционных системах подсистемах безопасности и возможностях изучаемых систем защиты, о технологических приемах, используемых при их настройке и эксплуатации (см. статьи "Подготовка кадров в области защиты информации", "Кадры решают все", журнал "Системы безопасности", N5,6 за 1997 г.).
Четвертый этап - информационное обслуживание по вопросам безопасности. Наличие своевременной информации об обнаруженных уязвимостях и о способах защиты от них, безусловно, поможет предпринять некоторые меры задолго до того, как "грянет гром". Источников подобных сведений в настоящее время очень много - это книги, журналы, Web-сервера, списки рассылки и т.п. К сожалению, администратор безопасности не всегда имеет достаточное количество времени для поиска крупиц знаний в этом море информации. Если вы не хотите платить за время, затраченное им на чтение огромного количества литературы, предоставьте ему некую квинтэссенцию, подготовленную профессионалами. НИП "Информзащита" предлагает свой вариант подобных материалов - оперативные новости и тематические выпуски по информационной безопасности (см. статьи "Информация - это капитал", "Кто владеет информацией, тот правит миром", журнал "Системы безопасности", N6 за 1997 г., N1 за 1998 г.).
Пятый этап - периодический аудит системы информационной безопасности - необходим потому, что корпоративная сеть, подобно живому организму, является постоянно изменяющейся структурой. Появляются новые серверы и рабочие станции, меняется программное обеспечение и его настройки, меняется состав и важность информации, меняются люди, работающие в организации и т.д. Все это приводит к тому, что защищенность системы постоянно снижается.
Для того чтобы адаптировать систему информационной безопасности к новым условиям работы необходимо отслеживать эти изменения и своевременно реагировать на них. Некоторые работы по анализу состояния защищенности корпоративной сети могут быть выполнены при помощи специальных программных средств, таких как Internet Scanner и System Security Scanner из семейства SAFEsuite американской корпорации Internet Security Systems, Inc., которые значительно облегчают работу администратора безопасности по поиску ошибок в настройках программного обеспечения, по выявлению небезопасного программного обеспечения и т.п. и позволяют администратору в автоматизированном режиме отслеживать состояние сети, своевременно обнаруживать и устранять возможные источники проблем.
Важной составной частью работ этого этапа является корректировка Плана защиты в соответствии с реальным состоянием корпоративной сети. Самая совершенная инструкция рано или поздно устаревает и становится серьезным препятствием на пути развития технологии обработки данных
Конечно, не существует стандартных решений, одинаково применимых в разных условиях. Возможно, у вас появятся замечания и дополнения к предложенному плану организации защиты корпоративной сети, учитывающие специфические условия вашей организации. Но реализуя комплекс перечисленных мероприятий с учетом этих дополнений, вы сможете обеспечить достаточный уровень защищенности информации в корпоративной сети вашей организации.
|
|
||||
|
|
||||
|
